CN111585981A - 基于应用防火墙的安全检测方法及相关设备 - Google Patents
基于应用防火墙的安全检测方法及相关设备 Download PDFInfo
- Publication number
- CN111585981A CN111585981A CN202010329731.6A CN202010329731A CN111585981A CN 111585981 A CN111585981 A CN 111585981A CN 202010329731 A CN202010329731 A CN 202010329731A CN 111585981 A CN111585981 A CN 111585981A
- Authority
- CN
- China
- Prior art keywords
- request
- inbound request
- parameter
- rule
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了基于应用防火墙的安全检测方法及相关设备,用于通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。本发明方法包括:在应用***中部署应用防火墙WAF并配置过滤器;调用应用防火墙按照预置的通用规则对应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;启用参数自动收集机制对目标入站请求进行监控,参数自动收集机制用于收集目标入站请求对应的请求参数值;将对应的请求参数值发送至参数规则配置平台;获取参数规则配置平台发送的目标参数规则,将目标参数规则同步部署到应用***;调用WAF基于目标参数规则进行后续的安全检测。
Description
技术领域
本发明涉及网络安全领域,尤其涉及基于应用防火墙的安全检测方法及相关设备。
背景技术
随着互联网技术的快速发展,网络安全也越来越受到重视。目标,普遍采用网络应用防火墙(Web application firewall,WAF),对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,WAF是网络安全纵深防御体系里重要的一环。
现在市场上大多数的产品是基于规则的WAF。其原理是每一个会话都要经过一系列的测试,每一项测试都由一个过多个检测规则组成,如果测试没通过,请求就会被认为非法并拒绝。基于规则的WAF测试很容易构建并且能有效的防范已知安全问题。当我们要制定自定义防御策略时使用它会更加便捷。但是因为它们必须要首先确认每一个威胁的特点,所以要由一个强大的规则数据库支持。WAF生产商维护这个数据库,并且他们要提供自动更新的工具。
现有方案是针对攻击特征整体防御检测,无法和实际应用***的业务进行强关联,导致误报率高,影响应用***的正常功能。
发明内容
本发明提供了基于应用防火墙的安全检测方法及相关设备,用于通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。
本发明实施例的第一方面提供一种基于应用防火墙的安全检测方法,包括:在应用***中部署应用防火墙WAF并配置过滤器,所述过滤器用于拦截所有通过所述WAF的入站请求和请求参数;调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;启用参数自动收集机制对所述目标入站请求进行监控,所述参数自动收集机制用于收集所述目标入站请求对应的请求参数值;将所述对应的请求参数值发送至参数规则配置平台,所述参数规则配置平台设置有多种类型规则,以使得所述参数规则配置平台通过所述请求参数值在所述多种类型规则中匹配目标参数规则;获取所述参数规则配置平台发送的目标参数规则,将所述目标参数规则同步部署到所述应用***;调用所述WAF基于所述目标参数规则进行后续的安全检测。
可选的,在本发明实施例第一方面的第一种实现方式中,所述调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求,包括:接收初始入站请求;获取所述应用***中预置的通用规则;调用所述应用防火墙基于所述预置的通用规则对所述初始入站请求进行安全检查,所述预置的通用规则用于判断所述初始入站请求是否属于恶意请求;若初始入站请求不符合所述预置的通用规则,则确实所述初始入站请求属于恶意请求,并对所述初始入站请求进行拦截过滤;若初始入站请求符合所述预置的通用规则,则将所述初始入站请求确定为目标入站请求。
可选的,在本发明实施例第一方面的第二种实现方式中,所述调用所述WAF基于所述目标参数规则进行后续的安全检测,包括:调用所述WAF对预置路径进行扫描,得到多个安全规则;加载所述多个安全规则;当所述WAF后续接收到新的入站请求时,调用所述多个安全规则对所述新的入站请求进行安全校验。
可选的,在本发明实施例第一方面的第三种实现方式中,所述当所述WAF后续接收到新的入站请求时,调用所述多个安全规则对所述新的入站请求进行安全校验,包括:当所述WAF后续接收到新的入站请求时,判断所述新的入站请求是否属于全局白名单;若所述新的入站请求不属于全局白名单,则判断所述新的入站请求是否访问静态资源文件;若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则;若所述新的入站请求通过自定义安全规则,则判断所述新的入站请求的统一资源定位符URL是否处于免登录白名单;若所述新的入站请求的URL处于免登录白名单,则判断所述新的入站请求是否是HOST伪造攻击;若所述新的入站请求不是HOST伪造攻击,则判断所述新的入站请求是否是跨站请求伪造攻击;若所述新的入站请求不是跨站请求伪造攻击,则判断所述新的入站请求是否为满足指定IP访问的请求;若所述新的入站请求为满足指定IP访问的请求,则采集若所述新的入站请求对应的请求参数并进行合法性检查,将满足合法性检查的请求参数发送至参数规则配置平台。
可选的,在本发明实施例第一方面的第四种实现方式中,所述若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则包括:若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否包含木马请求参数;若所述新的入站请求不包含木马请求参数,则判断所述新的入站请求是否访问敏感文件;若所述新的入站请求不访问敏感文件,则判断所述新的入站请求是否是越权访问;若所述新的入站请求不是越权访问,则确定所述新的入站请求通过自定义安全规则。
本发明实施例的第二方面提供了一种基于应用防火墙的安全检测装置,包括:部署配置单元,用于在应用***中部署应用防火墙WAF并配置过滤器,所述过滤器用于拦截所有通过所述WAF的入站请求和请求参数;检查过滤单元,用于调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;监控单元,用于启用参数自动收集机制对所述目标入站请求进行监控,所述参数自动收集机制用于收集所述目标入站请求对应的请求参数值;发送单元,用于将所述对应的请求参数值发送至参数规则配置平台,所述参数规则配置平台设置有多种类型规则,以使得所述参数规则配置平台通过所述请求参数值在所述多种类型规则中匹配目标参数规则;获取同步单元,用于获取所述参数规则配置平台发送的目标参数规则,将所述目标参数规则同步部署到所述应用***;检测单元,用于调用所述WAF基于所述目标参数规则进行后续的安全检测。
可选的,在本发明实施例第二方面的第一种实现方式中,所述检查过滤单元具体用于:接收初始入站请求;获取所述应用***中预置的通用规则;调用所述应用防火墙基于所述预置的通用规则对所述初始入站请求进行安全检查,所述预置的通用规则用于判断所述初始入站请求是否属于恶意请求;若初始入站请求不符合所述预置的通用规则,则确实所述初始入站请求属于恶意请求,并对所述初始入站请求进行拦截过滤;若初始入站请求符合所述预置的通用规则,则将所述初始入站请求确定为目标入站请求。
可选的,在本发明实施例第二方面的第二种实现方式中,所述检测单元包括:扫描模块,用于调用所述WAF对预置路径进行扫描,得到多个安全规则;加载模块,用于加载所述多个安全规则;校验模块,当所述WAF后续接收到新的入站请求时,用于调用所述多个安全规则对所述新的入站请求进行安全校验。
可选的,在本发明实施例第二方面的第三种实现方式中,所述校验模块具体用于:当所述WAF后续接收到新的入站请求时,判断所述新的入站请求是否属于全局白名单;若所述新的入站请求不属于全局白名单,则判断所述新的入站请求是否访问静态资源文件;若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则;若所述新的入站请求通过自定义安全规则,则判断所述新的入站请求的统一资源定位符URL是否处于免登录白名单;若所述新的入站请求的URL处于免登录白名单,则判断所述新的入站请求是否是HOST伪造攻击;若所述新的入站请求不是HOST伪造攻击,则判断所述新的入站请求是否是跨站请求伪造攻击;若所述新的入站请求不是跨站请求伪造攻击,则判断所述新的入站请求是否为满足指定IP访问的请求;若所述新的入站请求为满足指定IP访问的请求,则采集若所述新的入站请求对应的请求参数并进行合法性检查,将满足合法性检查的请求参数发送至参数规则配置平台。
可选的,在本发明实施例第二方面的第四种实现方式中,所述校验模块具体还用于:若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否包含木马请求参数;若所述新的入站请求不包含木马请求参数,则判断所述新的入站请求是否访问敏感文件;若所述新的入站请求不访问敏感文件,则判断所述新的入站请求是否是越权访问;若所述新的入站请求不是越权访问,则确定所述新的入站请求通过自定义安全规则。
本发明实施例的第三方面提供了一种基于应用防火墙的安全检测设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一实施方式所述的基于应用防火墙的安全检测方法。
本发明实施例的第四方面提供了一种计算机可读存储介质,包括指令,当所述指令在计算机上运行时,使得计算机执行上述任一实施方式所述的基于应用防火墙的安全检测方法的步骤。
本发明实施例提供的技术方案中,在应用***中部署应用防火墙WAF并配置过滤器,过滤器用于拦截所有通过WAF的入站请求和请求参数;调用应用防火墙按照预置的通用规则对应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;启用参数自动收集机制对目标入站请求进行监控,参数自动收集机制用于收集目标入站请求对应的请求参数值;将对应的请求参数值发送至参数规则配置平台,参数规则配置平台设置有多种类型规则,以使得参数规则配置平台通过请求参数值在多种类型规则中匹配目标参数规则;获取参数规则配置平台发送的目标参数规则,将目标参数规则同步部署到应用***;调用WAF基于目标参数规则进行后续的安全检测。本发明实施例,采用通过和应用***强关联的方式,主动嵌入应用***中,通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。
附图说明
图1为本发明实施例中基于应用防火墙的安全检测方法的一个实施例示意图;
图2为本发明实施例中基于应用防火墙的安全检测装置的一个实施例示意图;
图3为本发明实施例中基于应用防火墙的安全检测装置的另一个实施例示意图;
图4为本发明实施例中基于应用防火墙的安全检测设备的一个实施例示意图。
具体实施方式
本发明提供了基于应用防火墙的安全检测方法及相关设备,用于通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例进行描述。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅图1,本发明实施例提供的基于应用防火墙的安全检测方法的流程图,具体包括:
101、在应用***中部署应用防火墙WAF并配置过滤器,过滤器用于拦截所有通过WAF的入站请求和请求参数。
服务器在应用***中部署应用防火墙WAF并配置过滤器,过滤器用于拦截所有通过WAF的入站请求和请求参数。
应用防火墙的主要技术是对入侵的检测能力,尤其是对Web服务入侵的检测,Web应用防火墙最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如,给网页挂马,服务器很难察觉进来的是哪一个,因此也无法统计。对于已知的攻击方式,可以谈识别率,对未知的攻击方式,服务器也只好等他自己“跳”出来才知道。基于规则的WAF测试很容易构建并且能有效的防范已知安全问题。
实际应用时,将WAF(安全统一防护模块)的统一***(SecurityFilter)配置到应用***的web.xml中(或者类似的配置文件中),以确保WAF正常工作。
可以理解的是,本发明的执行主体可以为基于应用防火墙的安全检测装置,还可以是终端或者服务器,具体此处不做限定。本发明实施例以服务器为执行主体为例进行说明。
102、调用应用防火墙按照预置的通用规则对应用***中的初始入站请求进行安全检查过滤,得到目标入站请求。
服务器调用应用防火墙按照预置的通用规则对应用***中的初始入站请求进行安全检查过滤,得到目标入站请求。
需要说明的是,WAF接收到用户的入站请求后,开始执行既定的合法性检查,首先执行通用web防护规则,如敏感文件下载,自定义安全(class)规则(包含木马访问检查、敏感文件访问、越权访问等),未授权访问检查,以上检查都通过后,开始检查请求参数,执行sql注入检查、跨站脚本检查。如果被检查参数配置有特定的规则,则执行特定规则(白名单),如果未配置,则执行WAF的内置通用黑名单规则。
需要说明的是,WAF对初始入站请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等,得到目标入站请求,该目标入站请求符合通用规则。
可选的,服务器调用应用防火墙按照预置的通用规则对应用***中的初始入站请求进行安全检查过滤,得到目标入站请求,包括:
服务器接收初始入站请求;服务器获取应用***中预置的通用规则;服务器调用应用防火墙基于预置的通用规则对初始入站请求进行安全检查,预置的通用规则用于判断初始入站请求是否属于恶意请求;若初始入站请求不符合预置的通用规则,则服务器确实初始入站请求属于恶意请求,并对初始入站请求进行拦截过滤;若初始入站请求符合预置的通用规则,则服务器将初始入站请求确定为目标入站请求。
103、启用参数自动收集机制对目标入站请求进行监控,参数自动收集机制用于收集目标入站请求对应的请求参数值。
服务器启用参数自动收集机制对目标入站请求进行监控,参数自动收集机制用于收集目标入站请求对应的请求参数值。服务器接收到采集的参数后,对参数值进行分析,并智能推荐最为接近的规则。
需要说明的是,WAF工作在web服务器之前,对基于HTTP协议的通信进行检测和识别。通俗的说,WAF类似于地铁站的安检,对于HTTP请求进行快速安全检查,通过解析HTTP数据,在不同的字段分别在特征、规则等维度进行判断,判断的结果作为是否拦截的依据从而决定是否放行。
104、将对应的请求参数值发送至参数规则配置平台,参数规则配置平台设置有多种类型规则,以使得参数规则配置平台通过请求参数值在多种类型规则中匹配目标参数规则。
服务器将对应的请求参数值发送至参数规则配置平台,参数规则配置平台设置有多种类型规则,以使得参数规则配置平台通过请求参数值在多种类型规则中匹配目标参数规则。
其中,多种类型规则可以包括数字类型、字母类型、单行文本类型、多行文本类型、html字段类型等等,服务器通过采集到的参数值智能匹配参数规则。
需要说明的是,参数规则配置平台对参数规则进行确认后,会将规则同步生效到应用***,确保后续的安全检测基于确定的规则进行,不再使用内置的通用规则(黑名单)进行检查,如此可有效提高检测精度,避免出现误报而影响***功能。
可以理解的是,参数规则配置平台应提供规则配置和修改的能力,维护人员进入参数规则配置模块可对参数进行配置和确认,并将确认的结果回传给WAF。
105、获取参数规则配置平台发送的目标参数规则,将目标参数规则同步部署到应用***。
服务器获取参数规则配置平台发送的目标参数规则,将目标参数规则同步部署到应用***。
106、调用WAF基于目标参数规则进行后续的安全检测。
服务器调用WAF基于目标参数规则进行后续的安全检测。
可选的,服务器调用WAF基于目标参数规则进行后续的安全检测,包括:
服务器调用WAF对预置路径进行扫描,得到多个安全规则;
服务器加载多个安全规则;
当WAF后续接收到新的入站请求时,服务器调用多个安全规则对新的入站请求进行安全校验。
可选的,当WAF后续接收到新的入站请求时,调用多个安全规则对新的入站请求进行安全校验,包括:
当WAF后续接收到新的入站请求时,判断新的入站请求是否属于全局白名单;若新的入站请求不属于全局白名单,则判断新的入站请求是否访问静态资源文件;若新的入站请求不访问静态资源文件,则判断新的入站请求是否通过自定义安全规则;若新的入站请求通过自定义安全规则,则判断新的入站请求的统一资源定位符URL是否处于免登录白名单;若新的入站请求的URL处于免登录白名单,则判断新的入站请求是否是HOST伪造攻击;若新的入站请求不是HOST伪造攻击,则判断新的入站请求是否是跨站请求伪造攻击;若新的入站请求不是跨站请求伪造攻击,则判断新的入站请求是否为满足指定IP访问的请求;若新的入站请求为满足指定IP访问的请求,则采集若新的入站请求对应的请求参数并进行合法性检查,将满足合法性检查的请求参数发送至参数规则配置平台。
需要说明的是,WAF会主动扫描指定路径下所有的安全(class)规则,并主动加载,每次有入站请求的时候,都会调用这些class规则进行安全校验;安全(class)规则的编制必须遵循WAF的统一标准,即实现WAF制定的方法,在validate()方法中编制安全防护代码;将实现好的安全(class)规则上传到WAF的指定路径下,刷新WAF缓存,即可马上生效新增的防护规则,快速防御新的漏洞。本实施例,提供了更加灵活的代码级规则编制方式,可更加灵活有效的解决更为复杂的漏洞防御问
其中,安全(class)规则的实现标准:
1、必须实现特定的接口(BaseRule);
2、实现特定接口中的方法,包含以下方法:
可选的,若新的入站请求不访问静态资源文件,则判断新的入站请求是否通过自定义安全规则包括:
若新的入站请求不访问静态资源文件,则判断新的入站请求是否包含木马请求参数;
若新的入站请求不包含木马请求参数,则判断新的入站请求是否访问敏感文件;
若新的入站请求不访问敏感文件,则判断新的入站请求是否是越权访问;
若新的入站请求不是越权访问,则确定新的入站请求通过自定义安全规则。
本发明实施例,采用通过和应用***强关联的方式,主动嵌入应用***中,通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。
面对本发明实施例中基于应用防火墙的安全检测方法进行了描述,下面对本发明实施例中基于应用防火墙的安全检测装置进行描述,请参阅图2,本发明实施例中基于应用防火墙的安全检测装置的一个实施例包括:
部署配置单元201,用于在应用***中部署应用防火墙WAF并配置过滤器,所述过滤器用于拦截所有通过所述WAF的入站请求和请求参数;
检查过滤单元202,用于调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;
监控单元203,用于启用参数自动收集机制对所述目标入站请求进行监控,所述参数自动收集机制用于收集所述目标入站请求对应的请求参数值;
发送单元204,用于将所述对应的请求参数值发送至参数规则配置平台,所述参数规则配置平台设置有多种类型规则,以使得所述参数规则配置平台通过所述请求参数值在所述多种类型规则中匹配目标参数规则;
获取同步单元205,用于获取所述参数规则配置平台发送的目标参数规则,将所述目标参数规则同步部署到所述应用***;
检测单元206,用于调用所述WAF基于所述目标参数规则进行后续的安全检测。
本发明实施例,采用通过和应用***强关联的方式,主动嵌入应用***中,通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。
请参阅图3,本发明实施例中基于应用防火墙的安全检测装置的另一个实施例包括:
部署配置单元201,用于在应用***中部署应用防火墙WAF并配置过滤器,所述过滤器用于拦截所有通过所述WAF的入站请求和请求参数;
检查过滤单元202,用于调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;
监控单元203,用于启用参数自动收集机制对所述目标入站请求进行监控,所述参数自动收集机制用于收集所述目标入站请求对应的请求参数值;
发送单元204,用于将所述对应的请求参数值发送至参数规则配置平台,所述参数规则配置平台设置有多种类型规则,以使得所述参数规则配置平台通过所述请求参数值在所述多种类型规则中匹配目标参数规则;
获取同步单元205,用于获取所述参数规则配置平台发送的目标参数规则,将所述目标参数规则同步部署到所述应用***;
检测单元206,用于调用所述WAF基于所述目标参数规则进行后续的安全检测。
可选的,所述检查过滤单元202具体用于:
接收初始入站请求;
获取所述应用***中预置的通用规则;
调用所述应用防火墙基于所述预置的通用规则对所述初始入站请求进行安全检查,所述预置的通用规则用于判断所述初始入站请求是否属于恶意请求;
若初始入站请求不符合所述预置的通用规则,则确实所述初始入站请求属于恶意请求,并对所述初始入站请求进行拦截过滤;
若初始入站请求符合所述预置的通用规则,则将所述初始入站请求确定为目标入站请求。
可选的,所述检测单元206包括:
扫描模块2061,用于调用所述WAF对预置路径进行扫描,得到多个安全规则;
加载模块2062,用于加载所述多个安全规则;
校验模块2063,当所述WAF后续接收到新的入站请求时,用于调用所述多个安全规则对所述新的入站请求进行安全校验。
可选的,校验模块2063具体用于:
当所述WAF后续接收到新的入站请求时,判断所述新的入站请求是否属于全局白名单;
若所述新的入站请求不属于全局白名单,则判断所述新的入站请求是否访问静态资源文件;
若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则;
若所述新的入站请求通过自定义安全规则,则判断所述新的入站请求的统一资源定位符URL是否处于免登录白名单;
若所述新的入站请求的URL处于免登录白名单,则判断所述新的入站请求是否是HOST伪造攻击;
若所述新的入站请求不是HOST伪造攻击,则判断所述新的入站请求是否是跨站请求伪造攻击;
若所述新的入站请求不是跨站请求伪造攻击,则判断所述新的入站请求是否为满足指定IP访问的请求;
若所述新的入站请求为满足指定IP访问的请求,则采集若所述新的入站请求对应的请求参数并进行合法性检查,将满足合法性检查的请求参数发送至参数规则配置平台。
可选的,所述校验模块2063具体还用于:
若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否包含木马请求参数;若所述新的入站请求不包含木马请求参数,则判断所述新的入站请求是否访问敏感文件;若所述新的入站请求不访问敏感文件,则判断所述新的入站请求是否是越权访问;若所述新的入站请求不是越权访问,则确定所述新的入站请求通过自定义安全规则。
本发明实施例,采用通过和应用***强关联的方式,主动嵌入应用***中,通过应用防火墙主动采集应用***的请求参数,通过对请求参数配置合适的规则,实现精准校验,降低因使用通用规则而导致的误报率。
上面图2至图3从模块化功能实体的角度对本发明实施例中的基于应用防火墙的安全检测装置进行详细描述,下面从硬件处理的角度对本发明实施例中基于应用防火墙的安全检测设备进行详细描述。
图4是本发明实施例提供的基于应用防火墙的安全检测设备的结构示意图,该基于应用防火墙的安全检测设备400包括存储器401、处理器402及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现任一实施例中的基于应用防火墙的安全检测方法。基于应用防火墙的安全检测设备400还可以包括通信接口403。
在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、双绞线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,光盘)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的***,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于应用防火墙的安全检测方法,其特征在于,包括:
在应用***中部署应用防火墙WAF并配置过滤器,所述过滤器用于拦截所有通过所述WAF的入站请求和请求参数;
调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;
启用参数自动收集机制对所述目标入站请求进行监控,所述参数自动收集机制用于收集所述目标入站请求对应的请求参数值;
将所述对应的请求参数值发送至参数规则配置平台,所述参数规则配置平台设置有多种类型规则,以使得所述参数规则配置平台通过所述请求参数值在所述多种类型规则中匹配目标参数规则;
获取所述参数规则配置平台发送的目标参数规则,将所述目标参数规则同步部署到所述应用***;
调用所述WAF基于所述目标参数规则进行后续的安全检测。
2.根据权利要求1所述的基于应用防火墙的安全检测方法,其特征在于,所述调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求,包括:
接收初始入站请求;
获取所述应用***中预置的通用规则;
调用所述应用防火墙基于所述预置的通用规则对所述初始入站请求进行安全检查,所述预置的通用规则用于判断所述初始入站请求是否属于恶意请求;
若初始入站请求不符合所述预置的通用规则,则确实所述初始入站请求属于恶意请求,并对所述初始入站请求进行拦截过滤;
若初始入站请求符合所述预置的通用规则,则将所述初始入站请求确定为目标入站请求。
3.根据权利要求1所述的基于应用防火墙的安全检测方法,其特征在于,所述调用所述WAF基于所述目标参数规则进行后续的安全检测,包括:
调用所述WAF对预置路径进行扫描,得到多个安全规则;
加载所述多个安全规则;
当所述WAF后续接收到新的入站请求时,调用所述多个安全规则对所述新的入站请求进行安全校验。
4.根据权利要求3所述的基于应用防火墙的安全检测方法,其特征在于,所述当所述WAF后续接收到新的入站请求时,调用所述多个安全规则对所述新的入站请求进行安全校验,包括:
当所述WAF后续接收到新的入站请求时,判断所述新的入站请求是否属于全局白名单;
若所述新的入站请求不属于全局白名单,则判断所述新的入站请求是否访问静态资源文件;
若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则;
若所述新的入站请求通过自定义安全规则,则判断所述新的入站请求的统一资源定位符URL是否处于免登录白名单;
若所述新的入站请求的URL处于免登录白名单,则判断所述新的入站请求是否是HOST伪造攻击;
若所述新的入站请求不是HOST伪造攻击,则判断所述新的入站请求是否是跨站请求伪造攻击;
若所述新的入站请求不是跨站请求伪造攻击,则判断所述新的入站请求是否为满足指定IP访问的请求;
若所述新的入站请求为满足指定IP访问的请求,则采集若所述新的入站请求对应的请求参数并进行合法性检查,将满足合法性检查的请求参数发送至参数规则配置平台。
5.根据权利要求4所述的基于应用防火墙的安全检测方法,其特征在于,所述若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则包括:
若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否包含木马请求参数;
若所述新的入站请求不包含木马请求参数,则判断所述新的入站请求是否访问敏感文件;
若所述新的入站请求不访问敏感文件,则判断所述新的入站请求是否是越权访问;
若所述新的入站请求不是越权访问,则确定所述新的入站请求通过自定义安全规则。
6.一种基于应用防火墙的安全检测装置,其特征在于,包括:
部署配置单元,用于在应用***中部署应用防火墙WAF并配置过滤器,所述过滤器用于拦截所有通过所述WAF的入站请求和请求参数;
检查过滤单元,用于调用所述应用防火墙按照预置的通用规则对所述应用***中的初始入站请求进行安全检查过滤,得到目标入站请求;
监控单元,用于启用参数自动收集机制对所述目标入站请求进行监控,所述参数自动收集机制用于收集所述目标入站请求对应的请求参数值;
发送单元,用于将所述对应的请求参数值发送至参数规则配置平台,所述参数规则配置平台设置有多种类型规则,以使得所述参数规则配置平台通过所述请求参数值在所述多种类型规则中匹配目标参数规则;
获取同步单元,用于获取所述参数规则配置平台发送的目标参数规则,将所述目标参数规则同步部署到所述应用***;
检测单元,用于调用所述WAF基于所述目标参数规则进行后续的安全检测。
7.根据权利要求6所述的基于应用防火墙的安全检测装置,其特征在于,所述检查过滤单元具体用于:
接收初始入站请求;
获取所述应用***中预置的通用规则;
调用所述应用防火墙基于所述预置的通用规则对所述初始入站请求进行安全检查,所述预置的通用规则用于判断所述初始入站请求是否属于恶意请求;
若初始入站请求不符合所述预置的通用规则,则确实所述初始入站请求属于恶意请求,并对所述初始入站请求进行拦截过滤;
若初始入站请求符合所述预置的通用规则,则将所述初始入站请求确定为目标入站请求。
8.根据权利要求6所述的基于应用防火墙的安全检测装置,其特征在于,所述检测单元包括:
扫描模块,用于调用所述WAF对预置路径进行扫描,得到多个安全规则;
加载模块,用于加载所述多个安全规则;
校验模块,当所述WAF后续接收到新的入站请求时,用于调用所述多个安全规则对所述新的入站请求进行安全校验。
9.根据权利要求8所述的基于应用防火墙的安全检测装置,其特征在于,所述校验模块具体用于:
当所述WAF后续接收到新的入站请求时,判断所述新的入站请求是否属于全局白名单;
若所述新的入站请求不属于全局白名单,则判断所述新的入站请求是否访问静态资源文件;
若所述新的入站请求不访问静态资源文件,则判断所述新的入站请求是否通过自定义安全规则;
若所述新的入站请求通过自定义安全规则,则判断所述新的入站请求的统一资源定位符URL是否处于免登录白名单;
若所述新的入站请求的URL处于免登录白名单,则判断所述新的入站请求是否是HOST伪造攻击;
若所述新的入站请求不是HOST伪造攻击,则判断所述新的入站请求是否是跨站请求伪造攻击;
若所述新的入站请求不是跨站请求伪造攻击,则判断所述新的入站请求是否为满足指定IP访问的请求;
若所述新的入站请求为满足指定IP访问的请求,则采集若所述新的入站请求对应的请求参数并进行合法性检查,将满足合法性检查的请求参数发送至参数规则配置平台。
10.一种计算机可读存储介质,其特征在于,包括指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-5中任意一项所述的基于应用防火墙的安全检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010329731.6A CN111585981B (zh) | 2020-04-24 | 2020-04-24 | 基于应用防火墙的安全检测方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010329731.6A CN111585981B (zh) | 2020-04-24 | 2020-04-24 | 基于应用防火墙的安全检测方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111585981A true CN111585981A (zh) | 2020-08-25 |
CN111585981B CN111585981B (zh) | 2022-07-12 |
Family
ID=72125450
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010329731.6A Active CN111585981B (zh) | 2020-04-24 | 2020-04-24 | 基于应用防火墙的安全检测方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111585981B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676473A (zh) * | 2021-08-19 | 2021-11-19 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103107948A (zh) * | 2011-11-15 | 2013-05-15 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
CN105338017A (zh) * | 2014-06-30 | 2016-02-17 | 北京新媒传信科技有限公司 | 一种web防御方法和*** |
US20160182454A1 (en) * | 2014-12-22 | 2016-06-23 | Edgecast Networks, Inc. | Real-Time Reconfigurable Web Application Firewall For a Distributed Platform |
CN106250292A (zh) * | 2016-08-11 | 2016-12-21 | 上海泛微网络科技股份有限公司 | 一种办公管理***性能监控平台 |
US20180109546A1 (en) * | 2013-04-10 | 2018-04-19 | Illumio, Inc. | Distributed Network Security Using a Logical Multi-Dimensional Label-Based Policy Model |
CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
-
2020
- 2020-04-24 CN CN202010329731.6A patent/CN111585981B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103107948A (zh) * | 2011-11-15 | 2013-05-15 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
US20180109546A1 (en) * | 2013-04-10 | 2018-04-19 | Illumio, Inc. | Distributed Network Security Using a Logical Multi-Dimensional Label-Based Policy Model |
CN105338017A (zh) * | 2014-06-30 | 2016-02-17 | 北京新媒传信科技有限公司 | 一种web防御方法和*** |
US20160182454A1 (en) * | 2014-12-22 | 2016-06-23 | Edgecast Networks, Inc. | Real-Time Reconfigurable Web Application Firewall For a Distributed Platform |
CN106250292A (zh) * | 2016-08-11 | 2016-12-21 | 上海泛微网络科技股份有限公司 | 一种办公管理***性能监控平台 |
CN108111466A (zh) * | 2016-11-24 | 2018-06-01 | 北京金山云网络技术有限公司 | 一种攻击检测方法及装置 |
CN109167792A (zh) * | 2018-09-19 | 2019-01-08 | 四川长虹电器股份有限公司 | 一种基于Nginx的新型WAF设计方法 |
CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
Non-Patent Citations (3)
Title |
---|
VICTOR CLINCY;HOSSAIN SHAHRIAR: ""Web Application Firewall: Network Security Models and Configuration"", 《2018 IEEE 42ND ANNUAL COMPUTER SOFTWARE AND APPLICATIONS CONFERENCE (COMPSAC)》 * |
姚琳琳、何倩: ""基于分布式对等架构的Web应用防火墙"", 《计算机工程》 * |
马月、侯雪城、吴佳帅: ""Web应用防火墙(WAF)技术的综述"", 《计算机时代》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676473A (zh) * | 2021-08-19 | 2021-11-19 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
CN113676473B (zh) * | 2021-08-19 | 2023-05-02 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111585981B (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
CA2946695C (en) | Fraud detection network system and fraud detection method | |
CN107659583B (zh) | 一种检测事中攻击的方法及*** | |
KR101689296B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US9747446B1 (en) | System and method for run-time object classification | |
CN103701795B (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
CN107302586B (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN103685294A (zh) | 拒绝服务攻击的攻击源的识别方法和装置 | |
CN103516693B (zh) | 鉴别钓鱼网站的方法与装置 | |
CN102185859A (zh) | 计算机***和数据交互方法 | |
CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证***及方法 | |
US11693961B2 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
CN111585981B (zh) | 基于应用防火墙的安全检测方法及相关设备 | |
CN111783092A (zh) | 面向安卓应用程序间通信机制的恶意攻击检测方法及*** | |
CN105939314A (zh) | 网络防护方法和装置 | |
KR102156340B1 (ko) | 웹 페이지 공격 차단 방법 및 장치 | |
CN107294994B (zh) | 一种基于云平台的csrf防护方法和*** | |
KR101923054B1 (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
CN113572776A (zh) | 非法侵入检测装置及方法 | |
KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
CN117955739B (zh) | 一种接口安全的识别方法、装置、计算设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |